Esercitazione: Importare o esportare un database con autenticazione dell'identità gestita per Azure SQL Database (anteprima)

Applica a:Azure SQL Database

Questa esercitazione illustra come importare ed esportare Azure SQL Database file BACPAC con l'autenticazione dell'identità gestita.

L'autenticazione dell'identità gestita rimuove la necessità di fornire le credenziali di amministratore SQL e le chiavi dell'account di archiviazione nelle richieste di importazione ed esportazione.

Annotazioni

L'importazione e l'esportazione di file BACPAC con autenticazione dell'identità gestita è attualmente in anteprima.

Informazioni generali

Azure SQL Database con l'importazione e l'esportazione tramite autenticazione con identità gestita consente di eseguire le seguenti operazioni:

• Eliminare le password dell'amministratore SQL e le chiavi dell'account di archiviazione.
• Imporre l'autenticazione di solo Microsoft Entra.
• Ridurre il sovraccarico di gestione e di rotazione delle credenziali.

Importante

L'importazione e l'esportazione sono operazioni con privilegi elevati. Concedere autorizzazioni solo alle entità attendibili.

Architettura

L'autenticazione dell'identità gestita per l'importazione e l'esportazione usa l'architettura seguente:

• Il servizio di importazione ed esportazione viene eseguito nell'infrastruttura gestita da Microsoft.
• Per l'autenticazione viene usata un'identità gestita assegnata dall'utente assegnata al server logico.
• Il controllo degli accessi in base al ruolo di Azure (RBAC) gestisce l'accesso ad Azure Storage.

Scenari supportati

Gli scenari seguenti sono supportati con l'autenticazione dell'identità gestita:

• Importare in un nuovo database.
• Importare in un database esistente e vuoto.
• Esportare da un database esistente.

Gli scenari seguenti non sono supportati con l'autenticazione dell'identità gestita:

• Operazioni di importazione tra tenant.
• Identità gestita assegnata solo a livello di database.

Prerequisiti

• Sottoscrizione Azure.
• Un server logico per Azure SQL Database.
• Un account di archiviazione Azure con un contenitore BLOB.

Creare un'identità gestita assegnata dall'utente

Creare una o più identità gestite.

Scegliere tra i modelli di autenticazione seguenti:

• Un'identità sia per SQL che per l'accesso Azure Storage.
• Identità separate per l'accesso a SQL e archiviazione.

Usare identità separate per semplificare la gestione delle autorizzazioni con privilegi minimi.

Per creare un'identità gestita, è possibile usare il portale AzureAzure CLI, Azure PowerShell, un modello ARM o l'API REST.

È necessario l'ID risorsa identità gestita assegnata dall'utente per le operazioni di esportazione o importazione e per l'accesso all'account di archiviazione. L'ID risorsa è nel formato:

/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identityName>

Per determinare l'ID risorsa per un'identità gestita assegnata dall'utente esistente nel portale di Azure, seguire questa procedura:

1. Vai alle identità gestite assegnate dall'utente nel portale di Azure.
2. In Impostazioni selezionare Proprietà.
3. In Informazioni di base copiare il valore per ID da usare nei passaggi successivi.

Concedere le autorizzazioni di archiviazione

Per usare l'autenticazione tramite identità gestita per le operazioni di importazione ed esportazione, l'identità gestita assegnata dall'utente che accede all'account di archiviazione deve disporre delle autorizzazioni appropriate per il controllo degli accessi in base al ruolo di Azure (Azure RBAC) per l'account di destinazione.

Concedi le autorizzazioni per l'identità gestita assegnata dall'utente che intendi usare per accedere all'account di archiviazione. Può trattarsi di un'identità gestita diversa da quella assegnata al server logico oppure può essere la stessa identità se si vuole usare una singola identità per l'accesso a SQL e archiviazione.

Annotazioni

Per aggiungere assegnazioni di ruolo o aggiungere coamministratori, l'utente deve essere un amministratore della sottoscrizione o essere un amministratore di Accesso utenti.

Per concedere le autorizzazioni RBAC di Azure all'identità gestita per l'account di archiviazione, seguire questa procedura:

1. Selezionare assegnazioni di ruolo di Azure per l'identità gestita dall'utente assegnata nel portale di Azure.
2. Nel riquadro Azure assegnazioni di ruolo selezionare + Aggiungi assegnazione di ruolo (anteprima) per aprire il riquadro Aggiungi assegnazione di ruolo (anteprima).
3. Nell'elenco a discesa Ambito selezionare Archiviazione.
4. In Sottoscrizione verificare che sia selezionata la sottoscrizione corretta.
5. In Risorsa selezionare l'account di archiviazione che si intende usare per l'operazione di esportazione o importazione.
6. In Ruolo cercare il ruolo BLOB di archiviazione pertinente per l'operazione:
   • Per le operazioni di esportazione, assegnare il ruolo Contributore dati BLOB di archiviazione.
   • Per le operazioni di importazione, assegnare il ruolo Lettore dati BLOB di archiviazione .
7. Selezionare Salva per salvare l'assegnazione di ruolo.

Assegnare l'identità gestita al server logico

Assegna l'identità gestita dall'utente che hai creato per il server logico a quest'ultimo.

Per assegnare l'identità gestita al server logico, seguire questa procedura:

1. Aprire il logical server per Azure SQL Database nel portale di Azure.
2. In Sicurezza selezionare Identità.
3. Nella sezione Identità gestita assegnata dall'utente usare + Aggiungi per aprire il riquadro Selezionare l'identità gestita assegnata dall'utente .
4. Cercare l'identità gestita creata nel passaggio precedente, selezionarla e quindi selezionare Aggiungi per assegnarla al server.
5. Assegnare un'identità gestita assegnata dall'utente come identità primaria.
6. Usare l'icona Salva nella barra di spostamento per salvare le modifiche.

Configurare l'amministratore di Microsoft Entra

Per configurare l'amministratore Microsoft Entra, seguire questa procedura:

1. Nel riquadro logical server for Azure SQL Database in Settings selezionare Microsoft Entra admin.
2. Selezionare Set admin per aprire il riquadro Microsoft Entra ID.
3. Cercare l'identità gestita assegnata dall'utente creata, selezionarla e quindi usare Select per impostarla come amministratore Microsoft Entra.
4. (Facoltativo) Usare la casella di controllo per abilitare Supporta solo l'autenticazione Microsoft Entra per questo server per applicare solo l'autenticazione Microsoft Entra per il server logico. Questa impostazione blocca tutte le autenticazioni SQL, quindi solo le identità gestite e altre entità di Microsoft Entra possono accedere al server.
5. Usare l'icona Salva nella barra di spostamento per salvare le modifiche.

Annotazioni

Se è necessario concedere a più risorse l'accesso amministratore al server logico, è consigliabile creare un gruppo Microsoft Entra, assegnare tale gruppo come amministratore e quindi assegnare l'identità gestita assegnata dall'utente come membro di tale gruppo.

Esportare un database

È possibile esportare un database con l'autenticazione dell'identità gestita usando il portale di Azure, il Azure CLI, Azure PowerShell o l'API REST.

Azure

Per esportare un database con l'autenticazione dell'identità gestita dal portale di Azure, seguire questa procedura:

1. Passare al Azure SQL Database nel portale di Azure.
2. Nel riquadro Panoramica selezionare Esporta per aprire il riquadro Esporta database .
3. Per accedere all'account di archiviazione con un'identità gestita, selezionare la casella Usa identità gestita per l'autenticazione dell'archiviazione e quindi specificare l'ID risorsa per l'identità gestita a cui è stato concesso l'accesso all'account di archiviazione.
4. In Tipo di autenticazione selezionare Identità gestita.
5. Il campo ID risorsa identità gestita SQL deve essere popolato automaticamente con l'ID risorsa per l'identità gestita assegnata dall'utente al server logico. In caso contrario, specificare l'ID risorsa per l'identità gestita assegnata dall'utente salvata al momento della creazione dell'identità gestita.

Azure PowerShell

Per esportare un database con l'autenticazione dell'identità gestita, usare il cmdlet New-AzSqlDatabaseExport con il -AuthenticationType "ManagedIdentity" parametro .

L'esempio seguente illustra come esportare un database con l'autenticazione dell'identità gestita usando un'identità gestita separata per l'accesso all'archiviazione:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”

New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

L'esempio seguente illustra come esportare un database con l'autenticazione dell'identità gestita usando la stessa identità gestita sia per l'accesso a SQL che all'archiviazione:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseExport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Azure CLI

Per esportare un database con l'autenticazione dell'identità gestita, usare il comando az sql db export con il --authentication-type "ManagedIdentity" parametro .

L'esempio seguente illustra come esportare un database con l'autenticazione dell'identità gestita usando un'identità gestita separata per l'accesso all'archiviazione:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = “/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

L'esempio seguente illustra come esportare un database con l'autenticazione dell'identità gestita usando la stessa identità gestita sia per l'accesso a SQL che all'archiviazione:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db export -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

REST API

Per esportare un database con l'autenticazione dell'identità gestita, usare l'API REST Databases - Export.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/export?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac"
}

Importare un database

È possibile importare un database con l'autenticazione dell'identità gestita usando il portale di Azure, il Azure CLI, Azure PowerShell o l'API REST.

È possibile importare un database come nuovo database o in un database vuoto esistente.

Azure

Per importare un database con l'autenticazione dell'identità gestita dal portale di Azure, seguire questa procedura:

1. Passare al server logico di Azure SQL Database nel portale di Azure.
2. Nel riquadro Panoramica selezionare Importa per aprire il riquadro Importa database .
3. Per accedere all'account di archiviazione con un'identità gestita, selezionare la casella Usa identità gestita per l'autenticazione dell'archiviazione e quindi specificare l'ID risorsa per l'identità gestita a cui è stato concesso l'accesso all'account di archiviazione.
4. In Nome database specificare il nome del database di destinazione.
5. In Tipo di autenticazione selezionare Identità gestita.
6. Il campo ID risorsa dell'identità gestita SQL deve essere popolato automaticamente con l'ID della risorsa per l'identità gestita assegnata dall'utente direttamente al server logico. In caso contrario, specificare l'ID risorsa per l'identità gestita assegnata dall'utente salvata al momento della creazione dell'identità gestita.

Azure PowerShell

Per importare un database con l'autenticazione dell'identità gestita, usare il cmdlet New-AzSqlDatabaseImport con il -AuthenticationType "ManagedIdentity" parametro .

L'esempio seguente illustra come importare un database con l'autenticazione dell'identità gestita usando un'identità gestita separata per l'accesso all'archiviazione:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"

New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentityStorageResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

L'esempio seguente illustra come importare un database con l'autenticazione dell'identità gestita usando la stessa identità gestita per l'accesso sia a SQL che all'archiviazione:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>"
 
New-AzSqlDatabaseImport -DatabaseName $databaseName -ServerName $serverName -ResourceGroupName $resourceGroupName -StorageKeyType "ManagedIdentity" -StorageKey $managedIdentitySqlResourceId -StorageUri $storageUri -AdministratorLogin $managedIdentitySqlResourceId -AuthenticationType "ManagedIdentity" 

Azure CLI

Per importare un database con l'autenticazione dell'identità gestita, usare il comando az sql db import con il --auth-type ManagedIdentity parametro .

L'esempio seguente illustra come importare un database con l'autenticazione dell'identità gestita usando un'identità gestita separata per l'accesso all'archiviazione:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
$managedIdentityStorageResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>”
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentityStorageResourceId --storage-uri $storageUri

L'esempio seguente illustra come importare un database con l'autenticazione dell'identità gestita usando la stessa identità gestita per l'accesso sia a SQL che all'archiviazione:

$serverName = "<server name>" 
$databaseName = "<database name>" 
$resourceGroupName = "<resource group name>"
$storageUri = "https://<storageaccount>.blob.core.windows.net/<container name>/<filename>.bacpac" 
$managedIdentitySqlResourceId = "/subscriptions/<subscription id>/resourceGroups/<resource group name>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<identity name>" 
 

az sql db import -s $serverName -n $databaseName -g $resourceGroupName --auth-type ManagedIdentity -u $managedIdentitySqlResourceId --storage-key-type ManagedIdentity --storage-key $managedIdentitySqlResourceId --storage-uri $storageUri

REST API

Per importare un database con l'autenticazione dell'identità gestita, usare l'API REST Databases - Import.

POST https://management.azure.com/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Sql/servers/<serverName>/databases/<databaseName>/import?api-version=2023-08-01

{
	"authenticationType": "ManagedIdentity",
	"administratorLogin": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<sqlIdentityName>",
	"storageKeyType": "ManagedIdentity",
	"storageKey": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.ManagedIdentity/userAssignedIdentities/<storageIdentityName>",
	"storageUri": "https://<storageAccount>.blob.core.windows.net/<container>/<fileName>.bacpac",
	"databaseName": "<targetDatabaseName>",
	"edition": "GeneralPurpose",
	"serviceObjectiveName": "GP_Gen5_2"
}

Risolvere i problemi comuni

I problemi comuni seguenti possono verificarsi quando si usa l'autenticazione dell'identità gestita per l'importazione e l'esportazione. Provare i passaggi per la risoluzione dei problemi per ogni problema:

• Disallineamento tenant: verificare che server logico, l'identità gestita assegnata all'utente e l'account di archiviazione siano nello stesso tenant di Microsoft Entra.
• Identity gestita non configurata come amministratore Microsoft Entra: impostare l'identità gestita assegnata dall'utente come amministratore Microsoft Entra a livello di server nel server logico.
• Errori di autorizzazione dello Storage: Verificare che il ruolo Lettore Dati BLOB dello Storage (importazione) o il ruolo Collaboratore Dati BLOB dello Storage (esportazione) sia concesso al corretto ambito di Storage.
• Errori di autorizzazione delle operazioni: verificare che l'utente disponga dell'autorizzazione al controllo degli accessi in base al ruolo Azure per inviare operazioni di importazione o esportazione nell'ambito dello SQL di destinazione.
• Autorizzazione con chiave condivisa è disabilitata: quando si seleziona un account di archiviazione nel portale di Azure durante le operazioni di importazione o esportazione, il portale usa le credenziali dell'utente connesso e si basa sull'autorizzazione basata su chiave condivisa. Quando l'autorizzazione con chiave condivisa è disabilitata per l'account di archiviazione, l'importazione e l'esportazione dal portale di Azure non è disponibile. Usare Azure CLI, PowerShell o l'API REST per le operazioni di importazione ed esportazione quando l'accesso con chiave condivisa è disabilitato.
• Account di archiviazione non disponibile nell'elenco a discesa di selezione dell'account: quando si usa il portale di Azure per le operazioni di importazione o esportazione, vengono visualizzati solo gli account di archiviazione a cui l'utente connesso ha accesso nell'elenco a discesa di selezione dell'account di archiviazione. Se l'account di archiviazione non è visualizzato nell'elenco a discesa, verificare che l'utente connesso abbia almeno il ruolo Lettore con accesso all'account di archiviazione.

Permissions

L'utente che invia la richiesta di importazione o esportazione deve disporre delle autorizzazioni Azure RBAC necessarie per eseguire le operazioni di importazione o esportazione nell'ambito di destinazione (database, server, gruppo di risorse o sottoscrizione).

I ruoli predefiniti comuni seguenti dispongono delle autorizzazioni necessarie:

• Contributore DB SQL
• Contributor
• Proprietario

È anche possibile usare un ruolo personalizzato che include le autorizzazioni seguenti necessarie per Microsoft.Sql le azioni di importazione ed esportazione:

• Microsoft.Sql/servers/databases/export/action (POST)
• Microsoft.Sql/servers/databases/import/action (POST)
• Microsoft.Sql/servers/import/action (POST)
• Microsoft.Sql/servers/databases/extensions/write (PUT)

Limitazioni

Quando si usa l'autenticazione dell'identità gestita per le operazioni di importazione ed esportazione, prendere in considerazione le limitazioni seguenti:

• Le operazioni tra tenant non sono supportate.
• Le identità gestite a livello di database non sono supportate per le operazioni di importazione ed esportazione.
• Durante l'anteprima, alcune esperienze del portale di Azure possono essere limitate.
• Le identità gestite assegnate dal sistema non sono supportate.
• L'importazione e l'esportazione da un account di archiviazione con accesso condiviso disabilitato non sono supportati quando si usa il portale di Azure. Per importare in o esportare da un account di archiviazione con accesso con chiave di condivisione disabilitato, usare Azure CLI, PowerShell o l'API REST.

Contenuti correlati

• Importare un file BACPAC in un database di Azure SQL Database
• Esportare in un file BACPAC
• Importare o esportare usando un collegamento privato